NIS 2 지침

NIS 2 지침은 유럽 연합에서 높은 수준의 사이버 보안을 보장하는 것을 목표로 하는 EU 지침입니다. 새로운 지침은 2016년 NIS 지침을 대체하면서, 강화된 보안 요구사항과 공급망 전반의 안전 관리, 그리고 일관된 제재 기준을 통해 더욱 신뢰할 수 있는 환경을 제공합니다. NIS 2 지침은 유럽 의회 및 EU 위원회에 의해 2022년 말에 채택되었으며, 2024년 10월 18일부터 EU에서 적용되어 왔습니다. EU 회원국은 해당 지침을 자국의 법률 체계에 반영해야 합니다.

NIS 2는 주로 다음과 같은 기업 관련 요구사항을 다룹니다:

NIS 1 지침은 주로 관련 디지털 서비스의 제공업체와 중요 인프라에 적용되는 반면, NIS 2 지침은 분야를 확대하여 무엇보다도 다음과 같은 생산 거래를 포함합니다: 엔지니어링, 데이터 처리 장치 제조업체, 전자 및 광학 제품, 전기 장비, 모터 차량 및 모터 차량 부품, 그 외 기타 차량 제조. NIS 2는 직원 50명 이상 또는 연간 매출·재무 규모가 1,000만 유로를 넘는 기업을 대상으로 하여, 보다 체계적이고 강력한 보안 기준을 적용합니다.

NIS 2의 영향을 받는 조직은 이 기준을 준수하기 위해 여러 가지 조치를 취해야 하며, 그 내용은 다음과 같습니다:

• 위험 관리: 위험을 식별 및 평가하기 위한 절차의 이행.
• 보안 조치: 위험을 줄이기 위한 조직 수준의 기술적 조치 도입.
• 사건 보고: 보안 사건을 관련 권한이 있는 기관에 보고하기 위한 절차의 수립.
• 모니터링 및 감사: 보안 조치의 정기적 검토 및 평가.

NIS 2는 EU 회원국의 국가별 권한에 의거해 이행되며, 이들 회원국은 지침의 준수 여부를 모니터링하고 보장할 책임이 있습니다. 독일에서 관련 권한을 가진 기관은 정보 보안을 위한 연방 사무국(BSI)입니다.

이행 조치:

1. 보고 의무: 기업은 보안 사건을 보고해야 합니다. NIS 2는 3단계 보고 체계를 통해 투명성을 강화하고, 상황에 더욱 민첩하게 대응할 수 있도록 합니다.
2. 감독 조치: 독일 연방 정보보안청(BSI)은 강화된 권한을 바탕으로 감사와 점검을 수행하여, 기업과 기관이 보안 규정을 충실히 이행하도록 지원합니다.
3. 처벌: 이 지침을 준수하지 않을 경우 처벌을 받을 수 있으며, 이러한 처벌의 유형과 정도는 침해의 심각도에 따라 달라집니다.

지원 및 조언:
BSI는 이 지침의 영향을 받는 기업에게 지원과 조언을 제공하여 NIS 2의 이행을 돕습니다. 기업은 IT 보안을 개선하고 새로운 요구사항에 대비하기 위해 선제적 조치를 취해야 합니다. 유럽연합 사이버 보안국(ENISA)은 사이버 보안에 관한 많은 유용한 정보를 제공합니다.

NIS 2, 사이버 리질리언스 법(Cyber Resilience Act, CRA), 기계류 규정은 사이버 보안 및 회복 능력을 강화하기 위한 포괄적인 EU 규제 프레임워크의 일부입니다. NIS 2는 네트워크 보안, 정보 시스템, 기업 수준의 요구사항에 중점을 두는 한편, 사이버 리질리언스 법은 디지털 요소를 포함하는 제품의 사이버 보안을 개선하는 것을 목표로 합니다. 기계류 규정은 기계류 및 산업 제품의 보안 요구사항을 규정하여 이러한 조치를 보완합니다.

• 추가 산업 보안 사양(IEC 62443 포함)
• 유럽연합 사이버 보안국(https://www.enisa.europa.eu/)